前端安全(常见WEB攻击及防范)
WEB攻击中常见的有:XSS攻击、CSRF攻击、SQL注入、文件上传漏洞。
一、XSS攻击
1、定义及危害:
XSS是互联网中使用最广泛的攻击手段之一。
XSS定义:XSS是跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
XSS攻击由于被黑客用来编写危害性更大的网络钓鱼攻击而变得广为人知。
危害:
- 盗取各类用户账号,如用户网银账号,各类管理员账号;
- 控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;
- 非法转账;
- 控制受害者机器向其它网站发起攻击。
2、攻击方式:
存储型攻击:XSS代码被插入到类似个人信息或发表的文章等存储在服务器上的信息中,即XSS代码被持久化。
反射型攻击:非持久化,代码隐藏在链接中,欺骗用户自己去点击链接时触发XSS代码,一般出现在搜索页面。
3、代码实例:
反射型攻击时url一般会转码,可以用decodeURIComponent(url)进行解码:
4、XSS攻击时常用的技巧:
5、防范:
- 过滤:对提交内容中的非法内容和属性,例如
- 转义:通过使用htmlspecialchars等函数,将提交内容中的字符"<"(小于)和">"(大于)转换为HTML实体。
二、CSRF攻击:
1、攻击方式:
- get型攻击:通过模拟get型请求向目标网站发起攻击;
- post型攻击:通过模拟post请求,发起表单提交,从而达到攻击目的。
前提:攻击目标系统用户必须登录,这时才能拿到目标系统的cookie信息。
2、攻击实例:
在一个攻击提供的在线网页中加入一张图片,图片的src为目标攻击系统的带有某种特殊目的url(比如删除目标系统某些信息),这样在目标系统人员一登录目标系统,然后点击攻击者提供的在线地址时就能达到攻击的目的。
3、防范:
- referer防范:通过判断请求头中的referer头确定请求的来源,从而避免CSRF攻击。
- token防范:通过在表单请求中添加token,标识表单的合法性,来避免CSRF攻击。
三、SQL注入:
定义:通过把SQL命令插入到web表单提交或者输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
实例:
select * from user where name="zhangsan"
select * from user where name="zhangsan" or 1=1 --''
方式:
- 登录注入:通过登录界面进行SQL注入;
- 文章管理注入:通过文章管理界面注入。
危害:
- 泄露企业数据;
- 恶意修改企业数据;
- 网站挂马。
四、文件上传漏洞:
定义:用户通过利用windows文件命名规则,上传了可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。
漏洞原因分析:
- windows文件命名规则:以下字符不能表示文件名<>/\|:"*'?
- 服务端操作文件函数:在移动文件时当遇到非法字符,将忽略非法字符以及之后的字符,例如会将abc:d.jpg变成abc。
防范措施:
- 权限防御:文件上传的目录设置为不可执行;
- 文件名防御:使用随机数改写文件名和文件路径。
前端安全(常见WEB攻击及防范)相关推荐
- 常见 Web 攻击(前端篇)
XSS Cross Site Scripting(跨站脚本攻击),因为缩写和 CSS 重叠,所以改叫 XSS.跨站脚本攻击是指通过存在安全漏洞的 Web 网址注册用户的浏览器内运行非本站点 HTML ...
- 网络/Network - 网络安全 - 常见web攻击与防护
前言 网络世界, 没有所谓的安全, 任何系统都存在漏洞, 只要时间足够以及具备值得被攻破的价值. 就会被攻击. 攻与防之间,本来就没有绝对的安全. 我们能做的就是,尽量提高攻击的成本. 有时有些方案虽 ...
- 【技术干货】浏览器工作原理和常见WEB攻击 (下)
本文作者:上海驻云开发总监 陈昂 上篇给大家带来的是关于浏览器基本工作原理的总结和介绍,这篇文章重点给大家说明有哪些常见WEB攻击. 常见WEB攻击 互联网是个面向全世界的开放平台,越是开放的东西漏洞 ...
- 常见web漏洞及防范(转)
单个漏洞,需要进行排查与整改,借着别人的智慧,做一个简单的收集.最好能够将常见漏洞,不限于web类的,进行一个统一的整理.这是今年的任务. 进行漏洞的工具的收集,为未来的工作做好基础... 一.SQL ...
- 常见web攻击及其防御手段
目录 一.XSS XSS攻击分类 XSS攻击的危害 防范手段 二.CSRF CSRF攻击的危害 防御 三.点击劫持-clickjacking 防御 四.SQL注入 防御 OS命令注入 请求劫持 一.X ...
- 常见web攻击及防护原理
常见web安全及防护原理 sql注入原理 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 总的来说有以下几点 永远不要信任用户的输入, ...
- 浅析几种常见Web攻击-DoS攻击、CSRF、XSS
常见的Web安全问题有DoS攻击.CSRF攻击.XSS漏洞等.本文将简单介绍一下这几种常见的工具方式. DoS攻击 DoS(Denial of Service),拒绝服务,顾名思义这种攻击是为了让服务 ...
- 十大常见web漏洞及防范
十大常见web漏洞 一.SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击.SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞.在设计程序,忽略了 ...
- 常见web攻击方式与防御方法
1. 客户端攻击 1.1 跨站脚本攻击(XSS) 跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌.OWASP TOP 10威胁多次把XSS列在榜首. 1.1.1 XSS分类 XSS根据效果的不同可 ...
- web安全知识点(常见web攻击总结)
目录 一.XSS-跨站脚本攻击 1.原理 2.非持久XSS(反射型XSS) 2.1.特点 2.2.如何防止 3.持久性XSS(存储型XSS) 3.1.条件 3.2.特点 二.CSRF-跨站请求伪造攻击 ...
最新文章
- java replaceall lt_static lt;Tgt; boolean replaceAll(Listlt;Tgt; list, T oldVal, T newVal)_Java...
- WPF 调用线程无法访问此对象,因为另一个线程拥有该对象
- 我的世界1.13的服务器网站,我的世界1.13纯净版
- JAVAEE慕课网项目需求分析
- LeetCode 129. 求根到叶子节点数字之和(DFS)
- qt 无法打开shell32_在Qt中用默认程序打开文件
- C++中智能指针的原理、使用、实现
- Quartz.Net 使用
- mysql 删除表中 id不等于XXX的 并且XXX字段的重复记录
- Java内存分析—栈,堆,方法区
- 【基础教程】基于matlab生成Word+PPT报告【含Matlab源码 971期】
- python decimal.quantize()参数rounding的各参数解释与行为
- js导出的xlsx无法打开_遇到U盘无法打开,属性显示0字节这样的问题?数据该如何导出?...
- 小白能读懂的 《手把手教你学DSP(TMS320X281X)》第四章(3) 创建新工程
- Typora mac 安装包下载与提取
- PHP PYTHON RUBY PERL
- 定企业生死的中台,到底长啥样?
- 人工智能的可行性分析
- JVM之枚举GC Roots 根节点,安全点,安全区域。
- Android简单版天气预报,显示天气预报(第二步)